Bereiten Sie sich auf die GDPR vor.

Wenn Sie irgendwo auf der Welt geschäftlich tätig sind, ist die Wahrscheinlichkeit groß, dass Ihr Unternehmen Daten über Einzelpersonen im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen an Bürger in einem Land der Europäischen Union (EU) verarbeitet. Und wenn dies der Fall ist, dann müssen Sie die Allgemeine Datenschutzverordnung (GDPR) einhalten. Was ist die GDPR? Es handelt sich um eine Verordnung zur Stärkung und Vereinheitlichung des Datenschutzes für Einzelpersonen innerhalb der EU. Sie wurde im April 2016 vom EU-Parlament verabschiedet und wird im Mai 2018 in Kraft treten.

Die Einhaltung der DSGVO, die den Datenschutz für Einzelpersonen innerhalb der Europäischen Union stärken und vereinheitlichen soll, erfordert mehr als nur das Umlegen eines Schalters. Und unabhängig davon, ob Ihr Unternehmen in der EU ansässig ist oder nicht, wenn es Daten über Personen im Zusammenhang mit dem Verkauf von Waren oder Dienstleistungen an Bürger eines EU-Landes verarbeitet, muss Ihr Unternehmen die Vorschriften einhalten.

Die Daten, auf die er sich bezieht, umfassen alle Informationen, die sich auf eine Person beziehen und die dazu verwendet werden können, diese Person direkt oder indirekt zu identifizieren. Das kann alles sein:

  • einen Namen,
  • ein Foto,
  • eine E-Mail Adresse,
  • Bankverbindung,
  • Beiträge auf Websites sozialer Netzwerke,
  • medizinische Informationen,
  • IP-Adresse des Computers.

Hier sind drei Strategien, um den Prozess in Gang zu bringen:

  1. Bearbeiten Sie IhreProzesse: Nehmen Sie sich Zeit, um über Ihre aktuellen Prozesse nachzudenken und darüber, wie sie geändert werden müssen, um den GDPR-Standards zu entsprechen. Führen Sie ein internes Audit durch, um die Prozesse, Systeme, internen Mitarbeiter und Drittparteien zu bewerten, die bereits vorhanden sind oder noch eingeführt werden müssen, um die Einhaltung der Datensicherheit zu gewährleisten. Bestimmen Sie, wie sie zusammenarbeiten, um formale Arbeitsabläufe zu etablieren. Erstellen Sie einen Prozess für den Umgang mit Problemen und damit verbundenen Maßnahmen, einschließlich der Benachrichtigung über Datenschutzverletzungen. Bereiten Sie detaillierte Aktionspläne vor, um festgestellte Lücken in der Datensicherheit zu schließen.
  2. Priorisieren Sie Menschen: Ernennen Sie einen Datenschutzbeauftragten, der die Verantwortung für die Datensicherheit und die Schulung der Mitarbeiter übernehmen kann. Wenn Sie Ihre aktuellen und zukünftigen Arbeitsabläufe bewerten, sollten Sie außerdem besonders darauf achten, wer wann mit welchen Daten oder Prozessen zu tun haben muss. Es ist wichtig, die Rollen der einzelnen Personen zu verstehen und zu wissen, wann sie ins Spiel kommen, um eine flüssige Kommunikation und Arbeitsabläufe rund um die Datensicherheit zu etablieren.
  3. Wählen Sie die Werkzeuge mit Bedacht. Leider sind Menschen nicht genug. Wenn Sie aufgrund des enormen Aufwands, der mit der Einhaltung der DSGVO bis Mai 2018 verbunden ist, Ressourcen aus anderen Bereichen Ihres Unternehmens abziehen müssen, könnten Sie Ihr Unternehmen auf andere Weise gefährden. Prüfen Sie, ob Sie über eine Technologie verfügen oder ob Sie in eine Technologie investieren müssen, die Ihnen hilft, gleichzeitig konform und effizient zu sein.

Die richtige Technologie sollte Sie dabei unterstützen, alle drei Strategien einfach und effizient umzusetzen. Eine solche Technologie sollte einfach zu bedienen, flexibel und vor allem integriert sein, um die Anforderungen des Unternehmens an die Datensicherheit zu erfüllen. Wenn Sie derzeit eine Technologie für das Risikomanagement einsetzen oder die Investition in ein solches System in Erwägung ziehen, verfügt dieses möglicherweise bereits über die erforderlichen Funktionen, darunter:

  • Regulatorische Interaktion: Kann die Interaktion mit Behörden und internen Interessengruppen innerhalb der Lösung verwaltet werden, um einen vollständigen Überblick über die Anforderungen an die Datensicherheit an einem Ort zu erhalten.
  • Verwaltung von Verträgen und Unternehmensrichtlinien: Kann die Lösung als zentrale Ablage für alle Verträge und Richtlinien dienen?
  • Laufende Verwaltung von Anfragen zur gemeinsamen Nutzung von Daten: Können Sie die Prozesse zur Beantragung der gemeinsamen Nutzung von Daten effizient automatisieren und auf der Grundlage bestehender Verträge zur gemeinsamen Nutzung von Daten weiterleiten?
  • Verwaltung von Datenanfragen und Governance: Können Sie Informationsanfragen verwalten?
  • Risikomanagement für Lieferanten: Können Sie Dritte und deren laufende Anforderungen an die Datensicherheit sowie deren Bewertungen verwalten?
  • Berichte und Dashboards: Kann die Lösung umfassende Analysen und einen Prüfpfad für die Datensicherheitsaktivitäten innerhalb des Unternehmens bereitstellen, um eine laufende Überwachung/Beurteilung und ggf. regulatorische Anforderungen zu ermöglichen?

Achten Sie darauf, dass Sie nicht Zeit, Energie und Geld in eine einmalige Compliance-Lösung investieren. Ziehen Sie stattdessen eine unternehmensweite Technologie für das Risikomanagement in Betracht, mit der Sie GDPR zusammen mit all Ihren anderen Risiken einbeziehen können. Wenn Sie mehr über GDPR und Strategien zur Einhaltung der Vorschriften erfahren möchten, lesen Sie unser White Paper.

Die Geldbußen sind gestaffelt und können bis zu 4 % (20 Mio. EUR) des weltweiten Jahresumsatzes betragen, wenn Unternehmen gegen die DSGVO verstoßen. Dies ist die maximale Geldstrafe, die für die schwerwiegendsten Verstöße verhängt werden kann, wie z.B. das Fehlen einer ausreichenden Zustimmung des Kunden zur Verarbeitung von Daten oder die Verletzung der Kernkonzepte. Bei weniger schwerwiegenden Verstößen liegt die Höchststrafe bei 10 Millionen EUR. Es ist wichtig zu wissen, dass diese Regeln sowohl für die für die Verarbeitung Verantwortlichen als auch für die Auftragsverarbeiter gelten – das bedeutet, dass ‚Wolken‘ nicht von der Durchsetzung der DSGVO ausgenommen sind. Je nach Verstoß ist eine Sammelklage oder eine individuelle Strafverfolgung vorgesehen.

Neben Bußgeldern und Strafen sind auch die Kosten für die Einhaltung der Vorschriften zu berücksichtigen. Wenn beispielsweise jeder EU-Besucher, der in den letzten Jahren einen amerikanischen Freizeitpark besucht hat, die Löschung seiner Daten verlangt, könnte das Unternehmen, dem der Park gehört, gezwungen sein, ein Vermögen auszugeben, um alle Besucher und die von ihnen auf den Systemen des Parks aufgenommenen Fotos zu identifizieren und zu löschen.

Der allgemeine Trend ist, dass das regulatorische Umfeld immer komplexer und präskriptiver wird. Es wird erkannt, dass Daten ein Vermögenswert sind, und daher wird der Fokus auf Daten weiter zunehmen. Da es nur noch knapp sechs Quartale sind, bis die Verordnung in Kraft tritt, ist die Zeit knapp und Unternehmen sollten jetzt mit der Planung für die GDPR beginnen. Erfahren Sie mehr über die Vorbereitung auf die GDPR in unserem Whitepaper.